Стратегия 5: Отдавать предпочтение качеству персонала, а не его количеству. Часть 1: Кого нанимать?

Люди — наиболее важный аспект в вопросе защиты сетей. Эта избитая фраза встречается практически во всех областях бизнеса, но это так. Имеющиеся бюджеты ограничены, а SOC приходится конкурировать между собой за узкий набор талантливых специалистов, поэтому обеспечение SOC персоналом становится непростой задачей. Используя правильные инструменты, один хороший аналитик может выполнить работу 100 посредственных.

В результате справедливо следующее важное заключение:

Качество аналитиков гораздо важнее, чем их количество.

Более того, несмотря на то, что аналитиков можно обучить базовым навыкам работы с инструментами, им нельзя привить определенный склад ума или навыки критического мышления, которые требуются для овладения инструментом. И это составляет основу для нашей пятой стратегии: проявляйте большую осторожность при найме и удержании аналитиков защиты сетей. Отдавайте предпочтение качеству персонала, а не его количеству. Далее, рассмотрим стратегию по частям:

  1. кого нанимать,
  2. сколько сотрудников требуется в идеале и
  3. как удержать сотрудников.

7.1. Кого нанимать

В этом разделе рассматриваются особенности идеального найма сотрудников в SOC. Мы последовательно рассмотрим необходимый образ мышления, опыт и навыки кандидата.

7.1.1. Образ мышления

Пожалуй, важнейшее качество, которое нужно искать в любом потенциальном сотруднике SOC, — это страсть к работе, независимо от его должности. Мониторинг вторжений и реагирование — это не просто «работа», когда люди отрабатывают свою 8- или 12-часовую смену, получают зарплату и уходят. Когда идет речь о деятельности с приставкой «кибер», требуется энтузиазм, любопытство и жажда знаний. Эта страсть заставит их возвращаться к работе изо дня в день, несмотря на стресс и сложности, присущие работе. Эта страсть, наряду с интеллектом и другими «гибкими навыками» (soft skills), побуждает новичков превращаться в тех, кого мы будем называть «аналитики-звезды».

Опытные «аналитики-звезды» могут выполнять все или почти все из списка задач:

  • Выискивать потенциальные вторжения из безобидного, на первый взгляд, набора записей журналов аудита или событий системы обнаружения вторжений (IDS).
  • Создавать новые инструменты и методы, чтобы превратить трудоемкие задачи в работу, которую можно сделать за разумное время.
  • Собирать разрозненные данные (например, системные журналы или образы жестких дисков), воссоздавать последовательность событий и оценивать направление потенциального вторжения.
  • Собирать малозаметные улики с помощью инструментов анализа сетевого протокола, чтобы распознать значение и смысл трафика во всех семи уровнях сетевой модели OSI.
  • Исследовать вредоносное ПО и сформулировать представление о векторе атаки и вероятной цели.
  • Определить неправильные системные конфигурации и работать с владельцами систем, чтобы исправить их.
  • Устанавливать и развивать отношения с сотрудниками SOC и партнерскими SOC, обмениваться передовым опытом, инструментами и инсайдерами.
  • Рассмотреть структуру сети и ее функционал глазами злоумышленника и оценить, где есть уязвимые области.

Талантливые люди привлекают себе подобных, поэтому появление всего нескольких «аналитиков-звезд» может способствовать значительному развитию SOC. Хотя на позициях начального уровня в SOC необходимы повторение и структурность, более продвинутые позиции требуют иного образа мышления:

  • Развитая интуиция и способность мыслить «вне рамок»;
  • Внимание к деталям при рассмотрении общей картины;
  • Способность использовать новые концепции, жажда знаний;
  • Желание автоматизировать повторяющиеся задачи в работе.

Одна из стратегий для менеджеров, нанимающих персонал в SOC, заключается в подборе людей, которые созрели для того, чтобы стать «аналитиками-звездами», и у которых есть способности к изучению необходимых для этого процедур и инструментов.

Анализ вторжений невозможно превратить в полностью шаблонный повторяемый процесс, каждый шаг которого подробно описан.

Аналитики должны быть свободны в анализе. На самом деле работа аналитиков 1-й Линии по ежедневному поиску и эскалации потенциальных вторжений более структурирована. Однако сотрудникам более высоких уровней требуется много времени на поиск подозрительных действий, выяснение их природы и решение о дальнейших действиях с ними. Перегрузка аналитиков процедурами и процессами погасит их способность выявлять и оценивать самые опасные вторжения.

7.1.2. Опыт

Анализ безопасности сетей требует превосходного понимания того, как работают сети и системы на практике, а не только в теории. Несмотря на то, что эксперты редко работают во всех областях, аналитики обычно могут ответить на такие вопросы, как:

  • Как установить и настроить систему Linux или Windows?
  • Как выглядит нормальный DNS-трафик?
  • Как вы правильно организовать демилитаризованную зону сети?
  • Что не так с этой конфигурацией коммутатора?
  • Как решить рядовые задачи с помощью популярных скриптовых языков и языков программирования?

Идеальный кандидат способен продемонстрировать общую «грамотность» в сфере IT и кибербезопасности наряду с глубокими знаниями, по крайней мере, в одной или двух областях, связанных с защитой сетей. Эта концепция известна как «Т-образная личность» [62]. Такие навыки обычно являются результатом комбинации следующих трех факторов:

  • Профессиональная подготовка в области информационных технологий, информатики (Computer Science), электротехнической или компьютерной инженерии, кибербезопасности или в связанной с ними области.
  • Опыт работы в IT, администрирование системы/сети или разработка программного обеспечения.
  • Самообучение в сфере системного администрирования, программирования, сетевой безопасности и анализе уязвимостей/тестировании на проникновение зачастую в свободное от работы время.

С ростом числа программ для студентов и выпускников, в частности в области информационной безопасности, расследования инцидентов и анализа вредоносных программ, растет число кандидатов, которые специально адаптировали свое формальное образование к карьере в сфере безопасности на уровне бакалавра или выпускника.

Тем не менее наличие диплома или пятилетнего опыта работы в сфере IT вовсе не является универсальным требованием для кандидатов в аналитики. Некоторые SOC фокусируются на оценке практического IT-опыта кандидатов, стремления к знаниям и умении нестандартно мыслить. Кандидаты без длительного опыта работы в сфере IT, но демонстрирующие хорошие навыки решения проблем, могут быть первоначально назначены на Линию 1 и получить повышение по мере развития своих навыков.

Есть несколько нижестоящих позиций, с которых могут переходить кандидаты: служба поддержки, специалист/инженер безопасности информационных систем (ISSO/ISSE), написание и соблюдение политик в области IT/кибербезопасности, разработка программного обеспечения и систем, системное администрирование. В любом из этих случаев важно оценить технические знания кандидатов, способность получать и использовать новую информацию, а также способность понимать реальную картину операций в IT.

7.1.3. Навыки

У зрелых SOC должна быть программа обучения, которая позволит новым сотрудникам быстро освоить техники и процессы, принятые в SOC. Кандидаты, имеющие опыт работы в системном администрировании или тестировании на проникновение, обычно могут усвоить специфику защиты компьютерных сетей в течение нескольких недель или нескольких месяцев. Недостаточно сфокусироваться только на опыте работы с различными инструментами защиты сетей, поскольку это составляет лишь одну треть от необходимой квалификации сотрудника. Многие опытные руководители SOC считают, что понимание того, как работает инструмент и какую информацию он предоставляет аналитику, важнее формальной модели работы одного конкретного инструмента.

Возвращаясь к концепции «Т-образной личности», опытный аналитик должен продемонстрировать общие знания в большинстве следующих областей и глубокие знания, по крайней мере, в одной или двух областях:

  • Администрирование Linux/UNIX, администрирование сети (маршрутизаторы и коммутаторы), веб-серверов, межсетевых экранов или DNS.
  • Работа с различными инструментами сбора данных FOSS IDS/IPS, NetFlow и сбора протоколов, такими как Snort [63], Suricata [64], Bro [65], Argus [66], SiLK [67], tcpdump [68] и WireShark [69].
  • Знание полного стека протоколов TCP/IP или OSI, включая основные протоколы, такие как IP, ICMP, TCP, UDP, SMTP, POP3, HTTP, FTP, и SSH.
  • Знание популярных криптографических алгоритмов и протоколов, таких как AES, RSA, MD5, SHA, Kerberos, SSL / TLS, и Diffe Hellman.
  • Опыт работы в сфере безопасности и архитектуры — анализ и разработка функций безопасности для больших распределенных систем.
  • Работа с некоторыми инструментами COTS NIDS/NIPS или HIDS/HIPS, такими как McAfee IntruShield [70] и ePolicy Orchestrator (EPO) [71], или Hewlett-Packard (HP) TippingPoint.
  • Работа с различными инструментами для сбора данных журналов систем и инструментами SIEM, такими как ArcSight [73] или Splunk [74].
  • Опыт работы с инструментами оценки уязвимостей и тестирования на проникновение, такими как Metasploit [75] [76], CORE Impact [77], Canvas Immunity [78] или Kali Linux [79].
  • Для тех, кто работает в области исследования вредоносных программ: (1) знание ассемблера для архитектуры Intel x86 и возможно для других популярных архитектур, (2) работа с фреймворками для анализа вредоносных программ, такими как ThreatTrack ThreatAnalyzer [80] и FireEye AX [81] и (3) работа с различными утилитами, помогающими в анализе вредоносных программ, такими как SysInternals [82], и наборами инструментов, используемых для декомпиляции и анализа вредоносных программ (например, это IDA Pro [83] [38]).
  • Опыт работы с языками программирования, скриптовыми языками и инструментами обработки текста, в первую очередь Perl [84], но также включает sed и awk [85], grep [86], Ruby [87] и Python [88].
  • Для тех, кто занимается расследованием инцидентов, знание Windows и других внутренних ОС и популярных файловых систем, а также работа с инструментами исследования носителей информации, такими как AccessData FTK [89] или EnCase Forensic [90].

Кроме того, в процессе отбора кандидатов необходимо учитывать такие навыки кандидатов как:

  • Письменные и устные коммуникации;
  • Возможность работать с высокой скоростью, при большой загрузке;
  • Навыки работы в команде;
  • Способность обучаться в процессе работы и обмениваться знаниями с другими аналитиками;
  • Инициативность и навыки тайм-менеджмента;
  • Устойчивое чувство целостности и идентификация с миссией.

Конечно, существует много совпадений между операциями по защите компьютерных сетей и общими IT и сетевыми задачами. Сотрудники отдела по защите сетей должны иметь возможность говорить на одном языке с остальными подразделениями IT. Как обсуждалось ранее, способность поставить себя на место злоумышленника и выявить аномальную и злонамеренную деятельность отличает их от остальных подразделений IT. По этой причине нецелесообразно производить ротацию персонала между подразделением по защите сетей и остальными. Резкие изменения в составе персонала SOC обычно происходят в ответ на инцидент. Вместо того, чтобы перемещать людей непосредственно внутри SOC, рекомендуется привлекать других IT-специалистов на их текущих позициях, например, в качестве доверенных агентов, или обращаться за помощью к партнерским или вышестоящим SOC.

Опыт и навыки являются общими для специалистов по защите компьютерных сетей и прочих IT-подразделений, однако эти должности не взаимозаменяемы.

Рекомендуется перемещать персонал на различных младших должностях, например, аналитиков Линии 1 и специалистов по сканированию уязвимостей. Однако по мере повышения позиции, увеличивается время, требуемое для ее достижения. Например, можно перевести аналитика Линии 1 на сетевое сканирование, затратив неделю на обучение без отрыва от производства. Однако, чтобы переместить аналитика Линии 2 в Red Team (или обратно), потребуется больше времени.

Более подробную информацию о необходимых наборах навыков для персонала подразделений по защите компьютерных сетей, можно найти во фреймворке NICE от NIST, который находится в [91], и материалах CMU SEI CERT в [8] и [92].

7.1.4. Выводы

Подводя итог нашей дискуссии, приведем несколько советов по найму квалифицированных аналитиков:

  • Рассмотрите полный спектр квалификаций, в том числе высшее образование, профессиональные сертификаты, обучение, самообучение и опыт работы.
  • Разработайте стратегию собеседования, которая уделит основное внимание выявлению мышления «вне рамок» с помощью открытых вопросов и подтверждению фундаментальных знаний, таких как понимание протокола TCP/IP, системное администрирование UNIX и программирование.
  • Подбирайте специалиста, который сочетает в себе навыки разработки программного обеспечения, поиска уязвимостей/тестирования на проникновение и расширенного системного администрирования, который может быстро адаптироваться к работе в подразделении по защите сетей.
  • Во время интервью ищите в специалисте черты, которые будут свидетельствовать о его страсти к сфере кибер-технологий, развитых коммуникативных навыках, желании работать в сплоченной команде, ориентации на быстроразвивающуюся среду и жажде знаний.
  • Используйте структуру зарплатных вилок или контрактную модель, которая обеспечивает различие в задачах и уровне опыта во всех областях текущей и планируемой работы SOC.
  • Обращайтесь за рекомендациями к имеющимся «сотрудникам-звездам», у которых могут быть друзья, заинтересованные в работе в области защиты сетей, даже если их опыт в области IT не связан с безопасностью.
  • При найме специалистов на руководящие или управленческие должности убедитесь, что у кандидатов есть практический опыт работы в IT (а лучше в защите сетей).
  • Используйте техническую аттестацию или процедуру «проверки», которую каждый новый сотрудник должен пройти в течение определенного периода времени после найма; это гарантирует, что все сотрудники смогут работать с базовым уровнем технических возможностей, в зависимости от их рабочих задач.
Поделиться записью: